Microsoft Entra ID 中的驗證和授權
Microsoft Entra ID 藉由以符合標準的方式支援新式驗證通訊協定 (例如 OAuth 2.0 和 OpenID Connect),來提供驗證和授權服務。 您可以使用 Microsoft 驗證程式庫 (MSAL) 等開放原始碼程式庫和其他符合標準的程式庫,與 Microsoft Entra ID 搭配運作。
在員工入口網站案例中,您會了解組織使用 Microsoft Entra ID 作為驗證和授權的識別提供者。
在此單元中,您將了解驗證、授權,以及其在 Microsoft Entra ID 中如何受支援。
驗證
驗證是指對存取應用程式的使用者建立和確認身分識別的程序。
Microsoft Entra ID 會使用 OpenID Connect 通訊協定來處理驗證。 OpenID Connect 可讓應用程式取得關於已驗證的使用者和工作階段的基本資訊。
授權
授權是確定已驗證的使用者有權執行某些作業或存取某些資料的程序。
在 Microsoft Entra ID 中,OAuth 2.0 通訊協定可用於提供不同應用程式的授權流程。
應用程式註冊
Microsoft Entra ID 需要您註冊應用程式,才能提供身分識別和存取權管理服務。 註冊您的應用程式後,就會在應用程式和識別提供者之間建立信任關係。 您可以透過 Azure 入口網站、使用 Azure CLI,甚至以程式設計方式使用 Microsoft Graph API 來建立應用程式註冊。
應用程式註冊可讓您指定應用程式的名稱、應用程式類型 (Web、桌面等等) 和登入對象,也就是您想要允許存取的使用者帳戶。 登入對象包括:
- 僅限此組織目錄中的帳戶 (如果您要建置僅供組織租用戶 (單一租用戶) 中的使用者使用的應用程式)。
- 任何組織目錄中的帳戶 (如果您要讓任何 Microsoft Entra 租用戶 (多租用戶) 中的使用者都能使用您的應用程式)。
- 任何組織目錄中的帳戶和個人 Microsoft 帳戶,適用於最廣泛客戶群 (也支援 Microsoft 個人帳戶的多租用戶)。
- 個人 Microsoft 帳戶,僅供個人 Microsoft 帳戶 (例如 Hotmail、Live、Skype 和 Xbox 帳戶) 的使用者使用。
您也可以在應用程式註冊上設定認證、重新導向 URI 和其他驗證設定。
當應用程式註冊完成時,您會收到應用程式 (用戶端) 識別碼,其可在 Microsoft Entra ID 中唯一識別您的應用程式。 此識別碼會用於您的應用程式程式碼或驗證程式庫中,包含於向 Microsoft Entra ID 提出的要求中。